 
|
はてなキーワード: マルウェアとは
過去数日間にわたって放出の3つのレポートは、GoogleのAndroid OSは、現在のマルウェアの主要な標的であることを主張して...あなたが心配ですか?
http://www.bcpowerbattery.co.uk/bc-sony-digital-camera-battery.htm
だから、解決策は何ですか?私は3つの可能な解決策を参照してください。
GoogleはAndroidマーケットをクリーンアップし、ユーザに安全なもの(これは、マルウェアが寄生かもしれない"別の"マーケットプレースからユーザーを保護することはありません)
他の会社が介入し、彼ら自身からユーザーを保護するソフトウェアを提供
http://www.iibattery.com/nikon-digital-camera-battery-iigl.html
スラド http://slashdot.jp/slash/10/09/24/1641224.shtml より
MicroAD社VASCO ADサーバーを使用している各所のサイトで versus.ipq.co のiframeが挿入され、それによりセキュリティアラートの出る ats.redmancerg.net へ誘導される模様
対象のサイトはslashdot.jp他OSDNの各サイト(ADサーバ変更により対処済み)のほか.redmancerg.netのツイート検索結果によると未確認ながら以下でも発生していた模様。
現在(04:24)は収まっている?まだまだ?
Android Marketで偽装アプリ(セキュリティ研究者が配布した実害のないコンセプトマルウェア)のリモート削除が敢行されて微妙に話題が続いていたり、Androidは危険、iPhoneは安全、というのが巷の評価になっている。
しかしそもそもAppStoreは安全なのだろうか。
http://www.inside-games.jp/article/2009/11/24/38963.html
半年ほど前にこのような事例があった。
この会社が意図的に電話番号を抜いて集めていたのか、この会社が言う通りバグだったのかはこの際問題ではない。問題は「結果として電話番号を抜く挙動をしていた」こと自体は間違いないということだ。
つまりこのことは現実として「電話番号を抜いて通信で吸い上げる挙動をするアプリがAppleの審査を通っている」ことを意味している。
考えてみれば、iPhoneはカーネルレベルのAPIアクセス制御を行わないため、審査時点で行えるチェックは限られる。
単純にアプリを動かして動作を見るのでは、"こっそり"何かされる動作は全くチェックできない。
通信内容をスニファで監視するといったことは行っているのだろうか。いや、これは行っていないことは上の例から明らかだ。また、通信内容を暗号化されたら無力である。今回はたまたまプレーンテキストで送信していたからユーザが気づいたに過ぎない。
実行バイナリを静的走査して呼び出しているAPIをリストアップするなどは行っているのだろうか。しかしこれは悪意を持って呼び出し方法を細工されると検出は困難だ。
APIの呼び出しなどを監視しながら動作確認すれば動的にチェックできるが、Apple審査中は盗聴コードが動作しないような機構を入れておけばバレようもない。
要するに「抜いた個人情報を暗号化して送信するアプリは、Apple審査を通るし、ユーザにも気づかれない」のだ。
このことは「バレてないだけで既に横行している」可能性が相当高いことを意味している。というか現実にプレーンテキストで送信するアプリは無料ゲームのカテゴリ上位に堂々とランキングしていたのだ。他にないと信じる理由が無い。
つまりどういうことか。iPhoneは使うなということか。いや、そうではない。
パスワード暗号化して保管してくれるようなパスワード管理ソフトつかうのがいいんじゃない?
あと、Twitter?ブコメ?で「FFFTPがオープンソースだからセキュリティホールがみつかった」とか
訳分からないことほざいてる人いたけどそうじゃないから。
感染した場合、危ないのはFFFTPじゃなく、FTPクライアントソフト全体
SmartFTP、NextFTP、Filezilla、WinSCPもFFFTPと同じ意味で危険
でも、大勢の人が乗り換えたら、マルウェアがバージョンアップして対応してくるだけだよ
INIファイルに変えたって同じだよ!
もちろん、「絶対感染しない」ってのは不可能だけどね
感染した場合に、FTPソフトが保存してる情報を盗み出して利用される
だから危ないと騒がれてる
「特定のマルウェア」とは、8080系とか“Gumblar”とかいわれてる奴
** ■今後もパスワードを保存しなければ平気
保存して無いものは盗みようが無い
この後に「でも今回の問題だけね、そもそも・・」と続くので取消します
感染した後に利用される
だからセキュリティ対策をしっかりしよう
<<最重要>>
あと、これもやる http://anond.hatelabo.jp/20100131082751
<<通信盗聴の対策>>
FTPを使わない。暗号化されるものを使う(FTPSとかSFTPとかが話題に上がってるね)
通信部分を盗聴するのは、マルウェアに感染させるより簡単なので、そこの対策だね
<<感染した場合に備える>>
パスワードを保存しない
これまでに保存したパスワードを消去する
なんだかんだで、「感染して即盗られる」のと「使ったら盗られる」のは危険度が違うよね
以上
例えば、FTPは通信を暗号化してないから、簡単に盗聴できるからね?
今回は「パスワードが利用される」だったけど、「FTPを盗聴して内容をネットに送信する」マルウェアも作れるからね?
これ、FTPクライアントがFFFTPだろうがなんだろうが関係無いからね?
・パスワードは保存するな
僕はローカルに保存せず、ポストイットに書いてディスプレイに貼り付けます(^q^
タイトル変えました
同じ内容を書いてるつもりだけど、何か違うらしいので彼の主張を載せます
特定のFTPクライアントにパスワードを保存している状態でマルウェアに感染すると、
感染状態でFTP接続しなくてもパスワードを盗まれる危険があり、そのクライアントの中にFFFTPが含まれる。"
http://twitter.com/bulkneets/status/8412642399
"「CuteFTPやFFFTPが保存したパスワード情報が盗まれる」と「WinPcapでftpパケットを見られる」のを区別して書かないからダメなんじゃね”
確かに分りにくかったかもしれない。
話が繋がってるから区別して書きにくいなー。
1.FTPという通信方式自体が、パケットを見られるとパスワードやアカウント、通信内容が簡単に盗られる
なぜなら暗号化してないから
"そもそもFTPなんか使うな" と言ってる人達が問題にしてるのはここ
2.マルウェアに乗っ取られたら・・・
i. パケットは見放題なので、FTP使って通信したらパスワードとか盗られる
ii.キーボードで何を打ったかも分かるので、パスワードを入力した時点で盗られる
"マルウェアに乗っ取られた時点でFTPだろうがなんだろうがパスワード盗られるよ" と言ってる人たちが問題にしてるのがここ
iii.パソコンに保存してあるファイルもレジストリの情報も盗られまくる
今回の騒ぎの発端はここ
過去に使ってたID/パスワードが残ってたら、FTPで通信をしなくても盗られる
FFFTPや他のソフトがパスワードを保存しているレジストリやファイル、それ自体が狙われた、って話だね
"FFFTPでパスワードをINIに保存すれば良いという主張にもツッコんでおいて欲しいなあ"
http://twitter.com/KKI/status/8416101308
TL検索したら「INIファイル保存でいいみたいだ、FFFTPに戻るわ」って書いてあった
上に書いてある通り、亜種が出ればそのファイルが狙い打ちされるだけだよ
そして人気のあるマルウェアはすぐ亜種が出るよ
2006年1月 Googleが中国に進出 当局の検閲を受け入れる
2009年12月 Aurora事件 シリコンバレーの企業に大規模ハッキング
ハッキングの手口
メールでURLリンクを送りつけ→従業員が間違って悪意のあるサイトを訪問→
IE6の脆弱性(JavaScriptのバッファオーバーフロー)を突いた暗号化された
McAfeeの説明
Adobe Reader の脆弱性を突いたpdfを添付した電子メールを従業員に送りつける→
『Trojan.Hydraq』というバックドア型トロイの木馬がインストールされる→
社内ネットワークに侵入
iDefenseの説明
34社がターゲットになった
Google, Adobe, Yahoo, Symantec, Juniper Networks, ノースロップ・グルマン、ダウ・ケミカルなど
Googleが侵入に気付く 台湾のサーバーを覗く(逆ハック)
1/2 Adobeが侵入に気付く
1/4 攻撃終了 攻撃者のサーバーが閉じられる
1月 Google社内で議論 セルゲイ・ブリンは中国撤退論、ラリー・ペイジとエリック・シュミットは続行論
1月第2週 ヒラリーがGoogle, MS, Twitter, シスコ幹部と会談
1/12 Googleがブログで中国撤退検討を表明、また検閲廃止を表明
Adobeが侵入されたことを発表
1/17 現在の情勢
予定
1/21 ヒラリーが『インターネット・フリーダム』を発表予定
原文→Official Google Blog: A new approach to China
執筆者:David Drummond(SVP,Corporate Development・Chief Legal Officer)
他の著名な組織同様,我々も日常的に様々なサイバー攻撃に直面しています。12月中旬,中国から我々のインフラを標的にした非常に洗練された攻撃を検知し,結果としてGoogleの知的財産を奪われました。当初,非常に高度とはいえ単なるセキュリティ上の問題に見えたのですが,すぐにまったく異なる事件だと明らかになりました。
第一に,攻撃はGoogleのみを標的にしたものではありませんでした。我々の調査によって,インターネット,ファイナンス,テクノロジー,メディア,化学などを含む幅広い分野の,少なくとも20の他の大企業が同様に標的にされたことが明らかになりました。我々は現在これらの企業に通知する作業の途中にあり,関連する合衆国当局とも作業をしています。
第二に,私たちの持つ証拠によれば,攻撃者の第一の目標は中国人人権活動家のGmailアカウントにアクセスすることでした。現時点までの我々の調査によって,私たちはこの攻撃の目標は達成されなかったと確信しています。2つのGmailアカウントにアクセスされたようですが,アクセスはアカウント情報(アカウント作成日など),及び件名に限られており,電子メールの内容そのものにはアクセスされていません。
第三に,この調査の中から,今回のGoogleへの攻撃とは別に,合衆国,中国,ヨーロッパ在住の,中国の人権支持者のGmailアカウントに対して第三者が定期的にアクセスしていたことを発見しました。これらのアカウントへのアクセスはGoogleの情報漏えいによるものではなく,おそらくはフィッシング詐欺や,ユーザのコンピューター上のマルウェアによるものだと思われます。
私たちはすでに得られた情報をもとに,Googleとユーザの使用するセキュリティ向上のために,インフラとアーキテクチャを改善しました。個人ユーザに対しては,評価の高いアンチウィルスソフトとアンチスパイウェアソフトを実行し,OSのパッチをインストールし,Webブラウザをアップデートすることを推奨します。インスタントメッセージや電子メール内のリンクをクリックする時,またオンライン上でパスワードなどの個人情報を提供するようにもとめられた時は,常に警戒するようにしてください。こちらで私たちのサイバーセキュリティに関する推奨情報を読むことができます。このような種類の攻撃についてさらに知りたい方は,合衆国政府のレポート(PDF),Nart Villeneuve氏のブログ,GhostNetスパイ事件についてのこちらのプレゼンテーションを読むことができます。
私たちがこの攻撃についての情報を,この異例な方法で多くのみなさんに公開することにしたのは,私たちが掘り出した問題がセキュリティと人権に与える影響のためばかりではなく,この情報がさらに大きな言論の自由についてのグローバルな議論の核心をついているからです。過去20年間,中国の経済再編計画と中国市民の起業家精神によって,何億もの中国の人々が貧困を脱することができました。間違いなくこの偉大な国家は,今日の世界のさらなる経済発展と進歩の中心です。
私たちは,情報や開かれたインターネットへのさらなるアクセスによる恩恵が,検索結果への検閲に合意することによる私たちの不安よりも重要だと考え,2006年1月にGoogle.cnをローンチしました。その際以下のように宣言しました。「私たちのサービスに対する制限や,新しい法律を含む中国国内の状況を注意深く監視します。もしここに示された目標が達成出来ないと確信した場合は,中国へのアプローチの再考も躊躇しません」
この攻撃と明らかになった監視—さらに昨年を通じてのWeb上の言論の自由をより制限しようとする計画も含めて—によって,私たちは中国における私たちの業務の実行可能性について再検討すべきだとの結論に達しました。今後Google.cnの検索結果に対する検閲を継続しないと決断し,これから数週間をかけて,法の範囲内でフィルターなしの検索エンジンの運営が可能かという点について中国政府と話しあいます。私たちはこの決断によってGoogle.cn,もしかすると中国オフィスも閉鎖しなくてはならなくなる可能性が十分にあることを理解しています。
中国における業務を再考するというこの決断は途方もなく困難でした。また,私たちはこの決断がさらに幅広い結果を生む可能性も理解しています。この方針は合衆国内の幹部たちによって指揮されたもので,Google.cnに今日の成功をもたらすために信じられないほど働いてくれた中国国内の社員たちによる情報や関わりはなかったと明確にしたいと思います。私たちはこの非常に難しい問題を解決するために責任をもって最大限の努力をします。
これいいよ。
超おすすめ!
マイクロソフトはForefrontって企業向けに有償セキュリティソフトを出しているんだけど(知名度皆無)、そこから無駄?なものを省いただけ。
一番大事なマルウェア対策は有償と同じ。(有償版はウィルス感染情報が集約できたり、パターンファイルの更新情報を集中管理できたりする)
駆除のためのパターンファイルも有償版と同じものを使っているので、何かあればすぐ更新される。
ほとんど知られてないけど、マイクロソフトに集まるマルウェア情報量は世界一(そりゃWindowsのメーカーだもん、WinLiveから吸い上げたりとか。。。)。
Windowsファイアウォール、IEのセキュリティ設定、VistaからはUACとか、Windowsはもともとセキュリティ設定はしっかりしてる。
あわせて月1回のセキュリティ更新プログラムをきちんと当てていれば、よっぽどじゃない限りウィルスにやられたりはしないはず。
あとは、このSecurity Essentialsを使ってチェックしていれば、マルウェア対策はほぼ完璧じゃないかな。
設定もシンプルだしね~
ただ、一点難があるとすれば、サポートはたいしたことないってこと。無償だからここはしょうがない。
ちなみに、企業はマルウェア対策(ウィルス駆除)ソフトに結構なお金かけてると思う。
大企業はともかく、中小企業なんかはこれで代用してしまえば、年間結構なお金が浮くよなぁって、、、、
単身赴任でインターネットに没頭できる…と思ったらスパムやウイルスが怖い!っていうストーリーのCM。
http://www.ntt.com/ad/tvcf/cm_contents/20090310.html
これ、単身赴任になったおっさんは妻の目を気にせずエロサイト見放題!(出会い系とかデリヘル探しとかかも)ウレシイ!でもエロサイトを見に行くとマルウェアとかいろいろインストールされちゃったり…エロ系のスパムも沢山来て目移りして困る…みたいな意味ですよね。
OCNのサービスのおかげでスパムやウイルスも怖くなくなってさあエロを楽しむぞと思ったら奥さんに釘をさされるというオチまでついてるんですが。
……そんなのは俺の好きなインターネットと違う!そういうおっさんがいるのは別にいいんですが、コマーシャルなんだからもうちょっとウェブのいい部分を使ってCMを作って欲しいじゃないですか。「セキュリティが万全だから」「安心してエロに没頭できる」っていうんじゃなくって、「セキュリティが万全だから」できる活動がもうちょっとポジティブであって欲しいというか…
EMC傘下のセキュリティ企業RSAは4月21日、「Rock Phish」と名乗る犯罪組織がフィッシング詐欺とトロイの木馬を併用した新たな攻撃を仕掛けていることが分かったと伝えた。
RSAによると、Rock Phishは欧州を拠点とする犯罪組織で、2004年以来、金融機関を狙ったフィッシング詐欺を仕掛けている。RSAの推定では世界各国で起きているフィッシング詐欺の50%以上はRock Phishが関与。ユーザーをだまして偽サイトで入力させたパスワードなどを使って、銀行口座から現金を盗み出している。
今回この組織が、新たに「Zeus」というトロイの木馬の亜種を使い始めたことが判明したという。スパムなどから偽サイトに誘導されたユーザーは、そこで銀行口座などの情報を入力しなかったとしても、知らないうちにマルウェアに感染させられる。
Zeusは感染したユーザーのコンピュータから個人情報などを収集し、外部に送信するトロイの木馬。これまでに150種類以上の亜種が出回っている。
しかも今回のケースでは、Googleを思わせるURLを使ってマルウェアがホスティングされているため、セキュリティソフトも通過してしまう可能性があるとRSAは伝えている。
というか、ソーシャル系、マルウェア系が無いね。最近はこっちでない?
でも、気が付くと、最近はそんな記事をあまり見てない気がする。けど、収まったわけではないんだよね?たぶん。
とりあえず、スパムの増加を見るに、ボットネットは相変わらず勢力を拡大してるんだろうな。やっぱあれだろうか、開発環境の整備によるバグ減少とか、ターゲット型への移行により、発覚・話題化の抑制に成功してるって事だろうか。
あと、オフィス系の穴探しが活発化してる所を見ると、やっぱりターゲット先は企業、官公庁なんだろうか。いや、逆に、セキュリティがしっかりしているから表出していると見るべきか。そうなると、最近話題に上がらない家庭向けの方がメインか。しかし、こちらはあらかたシェアを握ったという気もする。ん?ということはある意味、安定期?
いずれにしろ、このボットネットはどうにかしなきゃならんだろうな。しかし、エンドユーザが直接的に不利益をこうむってないのがね。「べつにかまわない」とか言われると困るというか、なんだか、ボット使いとの間の洗脳合戦みたいで、ソーシャルに疲れる。いっそ、プロバイダの利用規約で、ボットの通信が行われていると特定されたら、故意ではないにしろ、一種の不正利用に準じているとみなし、通信の制限を課すとかいう利用規約にしちゃうとかどうだろう。
そうそう、ボットネット関連で最近気になるのは、ルータとかアプライアンス的機器のファームウェアだな。
つい最近もいくつか記事や穴の話があった気がするが、失念。ちゃんと、はてブぐらいはすべきだった。
世の中、こういったネットワーク接続した機器のファームって、どれくらいの人が気にかけてるんだろう。ほとんどいない気がする。ということは、こういった機器、たとえばルータとかって、ものすごくおいしい市場な気がする。反面、そういう機器って負荷がかかったときの安定性とか、実際どこまでの能力があるのかわからん。誰か、実際にクラックして記事にするとかすると面白そうなのにな。
実際、今のところは能力とかハード面で開発環境が整ってないから出てきてない(よね?)だけで、今後、そういった機器が高性能化・汎用化すれば、早晩、ターゲットになるだろうけど、そうなると回収騒ぎとか出るんだろうか、やっぱり。
まぁ、自動アップデートとか、フォールトトレラントとか、ケイタイで経験をつんでそうだから、そこらへんから技術が流れればよいね。ってか、日本でケイタイウィルスが出るのはいつごろになるのかな?
そうそう、日本で遅いといえばフィッシングサイトだよね。eBayとかは結構見掛るのに、日本はほとんど話題になってないね。あ、でも、ヤフオクだけははやってるらしいね。てか、フィッシングサイトじゃなくメールか。なんにしろ、そこそこ儲けちゃってるらしいよね。
あー、そうか、被害者側から見て能動じゃなく、受動的な方が引っかかりやすいのか?日本人は?
そいや、ヤフオク以外のオークションサイトとかはどうなんだろう。やっぱり被害がでてるんかね?その辺の情報知りたいけど、あんまり話題になってない気がする。
いずれにしろ、この手の情報は、海外の事例は見掛るのに、日本の情報があんまり目だってない気がする。見るところがわるいんかな?
と、つらつら書いてみちゃったりする独り言。
だれか、日本のソーシャル系手口の今がわかる所、ボットネットの現状や種類がわかる所、素人も楽しく読める未来のクラック技術、たとえばマルチコアCPUの情報漏えいとか、分散技術のクラックの穴とか、そんな話題のお勧めページ知ってたら教えて。